オルタナティブ・ブログ > 成迫剛志の『ICT幸福論』 >

”情報通信テクノロジは人々を幸せにする”を信条に、IT業界やアジア・中国を見つめていきます。

名刺入れを無くしたら個人情報漏洩となるのか?

»

1年ぶりにブログのアクセス解析を見てみたら、未だに ”名刺 個人情報” の検索で私のブログに辿り着く方が少なくないようですので、もう一度考えたいと思います。

『名刺入れを無くしたら、個人情報漏えいとなるのか?』

まず、個人情報保護法のおさらいをしてみます。

OECD (正式名称「経済協力開発機構」のこと。世界の先進国30カ国が加盟する国際機関) が、1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」を発表。
この勧告は、情報技術の発展に伴い、個人情報がデータベース化され利用されるようになってきた状況でにおいて、プライバシーを保護するための国際的な取り決めを行ったものです。

日本の個人情報保護法は2003年に成立。 IT先進国であるはずの日本ですが、プライバシー保護/個人データ保護関連の法律としては他国に大きく遅れをおり、世界で77番目だったそうです。(出所は確認中)

日本の個人情報保護法の法律およびその運用に関しては、政府や関係機関においても、”過剰反応”の問題が指摘されています。例えば、学校の緊急連絡網が作りにくくなった、などという例が挙げられています。

そもそも情報技術の進展に伴うプライバシー保護のための法律ですので、個人情報保護法で保護すべき対象としている”個人情報データベース”とは、

「電子計算機を用いて検索することができるように体系的に構成したもの」

「容易に検索することができるように体系的に構成したもの」

(個人情報保護法第2条第2項)

となっています。

また、対象となるのは、5000人以上の個人情報を保有する企業等であり、また政治、宗教、報道、大学などは対象とならないと定められています。


”名刺は個人情報だから厳格に管理しなければならない” という意見は、

個人情報データベースの定義の後者の

 ”容易に検索することができるように体系的に構成したもの” 

を根拠として、

”名刺管理ソフトで管理されていたり、『あいうえお』順で名刺を整理して保管していると、個人情報保護法における ”個人情報” に該当する
と主張されている方が多いようです。

ということは、名刺入れに無作為に入っている交換したばかりの名刺に関しては

 ◯ 名刺入れを無くしてしまった
 → 中には名刺交換で頂いた名刺が十数枚入っていた
 → 大変だ!個人情報漏えいしてしまった
 → 社内の個人情報保護担当部署へ報告し、適切な処理を行わなければならない

とはならないと考えてよいと思います。

 『名刺入れを無くしても、個人情報漏えいには該当しない』 

それよりも大きな問題として、プライバシー・個人情報に関しては、本当に漏洩して欲しくない ”生年月日”、”健康情報”、”購買履歴”なども含めた『真のプライバシー』が数万件、数百万件といった単位で漏洩する事件が多発しています。
このことに関しては、また別途整理してみたいと思います。

EXTRA31株式会社 成迫 剛志


<<2011.8.21 追記>>

ardbeg32氏からのご指摘がありましたので、プライバシーマークでの規定を調べてみました。根拠をまだ見つけることが出来ていないのですが、同HP上のFAQに名刺入れ紛失に関する記述がありました。



15-2-2
区分:内容

Q) 社員が名刺入れを紛失しました。取引先社員等の名刺も入っていましたが、自宅等の連絡先ではありません。事故報告は必要ですか。

A) 特定の個人が識別できる情報であれば、個人情報として保護すべきものと考えられます。それはプライベートに関する情報であっても、仕事関連の情報であっても同じです。
したがって、名刺の紛失に関しても事故報告書の提出は必要です。

15-2-6
区分:数量

Q) 1名分の氏名が漏えい(紛失)しただけなのですが、事故報告の必要はありますか。

A) たとえ1名分であっても、個人情報に係る事故が発生した場合には、事故報告書の提出が必要です。

上記記述によればプライバシーマーク制度上は、取引先1名分の名刺紛失の場合においても、関係審査機関への事故報告書の提出が必要ということになっているようです。 従い、前述の 『名刺入れを無くしても、個人情報漏えいには該当しない』 とは言い切れないようです。
運用上は非常に煩雑となりそうですが、プライバシーマーク取得各社はどのように対応しているのか機会があれば調べてみたいと思います。

Comment(2)